Upload
lydieu
View
216
Download
1
Embed Size (px)
Citation preview
■ Administration du réseau■
1
/Fute/Cours/Internet-2/14-SNMP.fm- 10 Octobre 1998 13:23)
____Bernard Cousin - © IFSIC - Université Rennes I
(/home/kouna/d01/adp/bcousin
PLAN
• Introduction
• Présentation générale
• Le protocole SNMP
• La base de donnés - MIB
• La représentation des données
• Les messages SNMP
• Conclusion
Administrationdu réseau
■ Administration du réseau■
2
d'administration (SNMP)
terfaces
____Bernard Cousin - © IFSIC - Université Rennes I
1. Introduction
Buts de l'administration de réseau :. configuration (configuration management). sécurité (security management). panne (fault management). audit (performance management)
Le réseau est hétérogène :. un seul ensemble d’opérations et un protocole
Indépendance vis-à-vis des applications et des in
Le réseau est réparti :. administration à distance. s'appuie sur le réseau lui-même (IP + UDP)
. comptabilité (accounting management)
. une seule base d’information répartie (MIB)
■ Administration du réseau■
3
____Bernard Cousin - © IFSIC - Université Rennes I2. Présentation
2.1. Gestion de la configuration
Principaux rôles :
- inventaire des ressources
- initialisation des équipements
- gestions des noms et des adresses
- mise à jour des paramètres des ressources
Procédures :
- collecter les informations
- contrôler l’état du système
- sauvegarder l’historique (“log”)
- présenter l’état du système☞ synoptique
■ Administration du réseau■
4
llance
tilisées pour assurer la sécurité
nsibles
u réseau (inter/intranet)
____Bernard Cousin - © IFSIC - Université Rennes I
2.2. Gestion de la sécurité
Nécessaire pour protéger le réseau contre :
- un dysfonctionnement, une inadvertance, une malvei
Une base de données spécifique :
- Security MIB : rassemble (protège) les informations u
Attaque passive :
- écoute de messages, observation du trafic
Attaque active :
- mascarade,
- duplication de message, modification de message,
- perturbation d’un service, modification d’un service.
Enregistrement de l’activité des utilisateurs :
- les évènementssignificatifs, les actions interdites ou se
Filtrage (“firewall”)
- trie des flux de données circulant entre deux parties d
■ Administration du réseau■
5
protocole, le numéro de port,
ur de message (signature)
métrique)
____Bernard Cousin - © IFSIC - Université Rennes I
- sur les adresses IP, le sens d’entrée/sortie, le type du
- les applications accessibles doivent être protégées
Authentification :
- de l’utilisateur de service (mot de passe), de l’émette
- notaire (tierce partie certifiante)
Intégrité du message :
- sceau (fonction de hachage)
Cryptage des messages :
- système à clef secrète (symétrique) ou publique (asy
- cryptage à la source ou par un serveur
■ Administration du réseau■
6
lien
gestion, etc.
mble d’évènements)
____Bernard Cousin - © IFSIC - Université Rennes I
2.3. Gestion des pannes
Défauts :
- systématique : panne d’un équipement, rupture d’un
- dépendant : fonction de l’état de l’environnement, con
Phase de traitement d’un défaut :
- détection d’un fonctionnement anormal
- localisation/diagnostic
- réparation
- vérification
Détection :
- messages d’erreur (quoi, qui(où), quand)
- tests (de contrôle routinier, de diagnostic)
- seuils (dénombrement des évènements)
Diagnostic :
- exploitation de l’historique (suite d’évènements, ense
- tests de diagnostic
■ Administration du réseau■
7
____Bernard Cousin - © IFSIC - Université Rennes IRéparation :
- reconfiguration
- remplacement
■ Administration du réseau■
8
s statistiques :
____Bernard Cousin - © IFSIC - Université Rennes I
2.4. Audit des performances
Performances des ressources du réseau :
- délai, débit, taux d’erreur, disponibilité
Evaluation des performances effectuée à partir de mesure
- Collecte,
- Contrôle,
- Stockage,
- Présentation
Analyse :
- Détection de comportements symptomatiques
- Prévision
■ Administration du réseau■
9
ions.
____Bernard Cousin - © IFSIC - Université Rennes I
2.5. Gestion de la comptabilité
Informations permettant d’évaluer le coût des communicat
- En fonction de la durée, du volume
- Au niveau du réseau ou de l’application
Exemple :
- nombre d’octets transmis, durée de connexion
■ Administration du réseau■
10
fc 1157 (1990)
) :
Protocol
niforme)
oins : rfc 1493, DEC : rfc 1289)
____Bernard Cousin - © IFSIC - Université Rennes I
3. SNMP
3.1. Introduction
SNMP (Simple Network Management Protocol): r- utilise UDP : transmission simple !
Norme OSI d'administration de réseau (ISO 7498- CMIS/CMIP (ISO 9595 et 9596) : Common Management Information Service/
☞ CMOP (CMIP over TCP) : rfc1189.
MIB (Management Information Base) : rfc 1156☞ Base de données répartie
. indépendance vis-à-vis des protocoles (u
. uniformité≠ adaptabilité aux différents bes (Ethernet : rfc 1398, FDDI : rfc 1512, pont
☞ MIB-II : rfc 1213 (1993)
■ Administration du réseau■
11
MS
MS
Hubncentrateurtelligent)
ement Client (administrateur SNMP)ement Server (agent SNMP)
pose une certaine vue.s par l'intermédiaire des agents.ptation (d'équipement ou
____Bernard Cousin - © IFSIC - Université Rennes I
3.2. Architecture générale
MS
MS
MS
MS
MC
MS
MC
(coin
Stations
Routeurs
: Manag: Manag
MC
MS
SNMPSNMP
demande(request)
notificationd'événement (trap)
réponse(response)
L'agent est chargé de gérer les équipements : il en proL'administrateur peut interroger/piloter les équipementDes proxys peuvent être utilisés pour réaliser une adaprotocolaire)
■ Administration du réseau■
12
nées :ées par les administrateurs
upleur, contrôleur, …)
ansmission
____Bernard Cousin - © IFSIC - Université Rennes I
4. La base de données
4.1. Introduction
Définit les informations gérées par la base de don Ces informations pourront être interrogées/modifi
Catégories d'information d'administration : - system : système et informations générales - interfaces : interface d'accès au réseau (co - addr.trans. : adressage (ARP...) - ip : protocole IP - tcp : protocole TCP - udp : protocole UDP - egp : protocole EGP - trans : informations sur les lignes de tr - snmp : protocole SNMP
Management Information Base
■ Administration du réseau■
13
gecèsnit) d'une interface d'accès reçusrrectement reçus
risateur de retransmission reçus
____Bernard Cousin - © IFSIC - Université Rennes I
4.2. Les variables de la MIB
Exemples de variables : Nom Catégorie SémantiquesysUpTime system durée depuis le démarraifNumber interfaces nombre d'interfaces d'acifMtu interfaces MTU(maximum transfer uipInReceives ip nombre de datagrammesipFragsOKs ip nombre de fragments coipRouteTable ip table de routagetcpRtoMin tcp durée minimale du tempoudpInDatagrams udp nombre de paquets UDP
■ Administration du réseau■
14
9)sentation (codage)
rrespondante
--ngueur max. du datag.
ations existantes sontPar exemple les entiers :-à-1, complément-à-2, …ou plusieurs, sur un mot, … ou variable, …
____Bernard Cousin - © IFSIC - Université Rennes I
5. Représentation des données
5.1. Introduction
Les informations de la MIB peuvent être :- simple : ipInReceives = [0 à 232-1]- complexe : ipRouteTable !!!- typée : ipAdresss (4 octets)
☞ ASN-1 (Abstract Syntax Notation : X40 définit le nom, le type des variables et leur repré
Exemple : (information sur les interfaces d’une station)ipAddrTable ::= SEQUENCE OF IpAddrEntryIpAddrEntry ::= SEQUENCE {
ipAdEntAddr IpAddress, -- @IP de l’interface
ipAdEntIfIndex INTEGER, -- numéro de l’interface co
ipAdEntNetmask IpAddress, --“netmask” associé
ipAdEntBcastAddr IpAddress, --@IP de diffusion
ipAdEntReasmMaxSize INTEGER(0...65535) lo
}
Les représentnombreuses. - complément- sur un octet - longueur fixe
■ Administration du réseau■
15
urs d'événements, paramètres
a cohérence
gement Information Tree”)
⇐ les différentes catégories
____Bernard Cousin - © IFSIC - Université Rennes I
5.2. Dénomination des variables
Pour toutes les variables actuelles et futures,Pour tous les objets (normes de protocole, comptede configuration, …)
Délégation d'attribution (efficacité) et maintien de l
☞ un espace global, arborescent :MIT (“Mana
iso1
org3
dod6
internet1
ccitt2
joint-iso-ccitt
3
directory1
mgmt2
experimental3
private4
racine mgmt2
mib1
interf.2
ip4
udp7
system1
addr.3
icmp5
tcp6
egp8
ipInReceives3
ipAddrTable20
iso.org.dod.internet.mgmt.mib.ip.ipAddrTable☞ 1.3.6.1.2.1.4.20.0
...
ipAddrEntry1
ipAddrEntIfIndex2
ipAddrEntAddr1
L’ OID (“Object identifier”) :
■ Administration du réseau■
16
e défini dans le rfc 1155
ible.
This value should include the fullhardware type, software …”
____Bernard Cousin - © IFSIC - Université Rennes I
5.3. Définition des variables
Son type :- en syntaxe ASN-1 : soit un type universel, soit un typ
Le type d’accès autorisé :- 4 types : read-only, read-write, write-only, non-access
Son status d’existence :- “mandatory, optionnal, deprecated, obsolete”
La description textuelle de la variable.
Sa dénomination.
❏ Exemple :
sysDescrOBJECT-TYPE
. SYNTAX DisplayString (SIZE (0..255))
. ACCESS read-only
. STATUS mandatory
. DESCRIPTION “a textual description of the entity.name and version identification of the system’s
::= {system 1}
■ Administration du réseau■
17
tocol”
eur d'une variablele suivante (non-explicitement nommée)
aleur dans une variable
s de port 162 (trap) et 161 (autres)
BdD
____Bernard Cousin - © IFSIC - Université Rennes I
6. Le protocole SNMP
Le protocole SNMP : “Simple network management pro
Opérations sans mémoire (“selfcontent message”) :☞ - stabilité, simplicité, flexibilité
Opérations atomiques :☞ - cohérence,
SNMP operations : - get.Request : demande d'obtention de la val - get-next.Request : demande de la valeur de la variab - get.Response : réponse à une demande - set.Request : demande de stockage d'une v - trap : notification d'évènement
Les messages SNMP utilise le protocole UDP, numéro
Echange d’informations sur les variables de la
■ Administration du réseau■
18
inistrateurs ayant accès à l'agent
____Bernard Cousin - © IFSIC - Université Rennes I
6.1. Le format général des messages SNMP
SNMP-message ::= SEQUENCE { version INTEGER { version-1 (0)},community OCTET STRING, -- l’ensemble des admdata ANY -- le PDU
}
SNMP-PDUs ::= CHOICE{get-request GetRequest-PDU, get-next-request GetNextRequest-PDU, get-response GetResponse-PDU, set-request SetRequest-PDU, trap Trap-PDU
}
☞ enASN-1 !
■ Administration du réseau■
19
ul octet,
e requête)
ite)
r
____Bernard Cousin - © IFSIC - Université Rennes I
GetRequest-PDU ::= [0] IMPLICIT SEQUENCE {request-id RequestID,error-status ErrorStatus,error-index ErrorIndex,variable-bindings VarBindList
}
avecRequestID : un type entier sur 4 octets,
ErrorStatus etErrorIndex : deux types d'entiers sur un se- initialisés à zéro lors d'une requête,
VarBindList : le type liste de noms de variable,- couple nom et valeur de la variable (“null” pour un
Le format des messages SNMP (su
☞ association entre demande et réponse
☞ informe sur le déroulement de la demande
☞ liste des variables dont on veut obtenir la valeu
■ Administration du réseau■
20
dont le nom correspond au préfixe.
V (type, longueur, valeur)
ini : entier)
ontexte spécifique SNMP
.1.1.0 -- Les deux 1er labels0 -- sont encodés ensemble
____Bernard Cousin - © IFSIC - Université Rennes I
6.2. Exemple d’encodage d’une variable
☞ encodage de GetReq(<SysDescr>) !
nota : le suffixe .0 référence l'instance de la variable
Règle d’encodageBER (“Basic Encoding Rules”) de type TLSEQUENCE len=41 30 29 INTEGER len=1 value -- version (type prédéf 02 1 00 STRING len=6 value -- community : “public” 04 6 “public” GetReq_PDU len=28 -- type dépendant du c A0 1C -- de l'application, ici : INTEGER len=4 value_request_id 02 4 05 AE 56 02 INTEGER len=1 value_errror_status 02 1 00 INTEGER len=1 value_error_index 02 1 00 SEQUENCE len=14 -- une liste … 30 0E SEQUENCE len=12 -- …. de couples 30 0C Object_id len=8 value_object=1.3.6.1.2.1 06 8 2B 06 01 02 01 01 01 0 NULL len=0 05 0
■ Administration du réseau■
21
____Bernard Cousin - © IFSIC - Université Rennes ILa structure de données correspondante :
0
4
1
1
1
30
30
02
04
02
02
02
8
30
06
30
102
6 p u b l i c
05 AE 56 02
2B 06 01 02 01 01 01 00
0
0
0
■ Administration du réseau■
22
t encodés par BER (cf. XDR)
s à l’aide d’une arborescence
____Bernard Cousin - © IFSIC - Université Rennes I
7. Conclusion
7.1. Généralités
SNMP
MIB
Les objets sont représentés à l’aide d’ASN-1 e
Protocole simple, minimal et sans mémoire
Base de données générale identifiant les objet
3 opérations :- obtenir une valeur- modifier la valeur d’une variable- notifier l’apparition d’un évènement
■ Administration du réseau■
23
____Bernard Cousin - © IFSIC - Université Rennes I7.2. Améliorations
Amélioration de la sécurité :. authentification. protection
Communication entre administrateurs SNMP. opération : InformRequest
Accès simultanée à plusieurs variables de la MIB. opération : GetBulkRequest☞ optimisation, structure de taille inconnue
☞SNMP v2